Die DSGVO trat 2018 in Kraft. Seitdem dient sie als Vorbild für andere neue Datenschutzgesetze, die weltweit auf den Weg gebracht werden, wie zum Beispiel:
- Das kalifornische Verbraucherdatenschutzgesetz (CCPA)
- Das brasilianische Datenschutzgesetz (LGPD)
- Das kanadische Gesetz zum Schutz personenbezogener Daten und zu elektronischen Dokumenten (PIPEDA)
- Das japanische Gesetz zum Schutz personenbezogener Daten
- Das australische Datenschutzgesetz
All diese Gesetze gehen von der Prämisse aus, dass personenbezogene Daten Eigentum des Einzelnen sind; daher müssen Unternehmen, die diese Daten erheben, bestimmte Sorgfaltspflichten zum Schutz dieser Daten erfüllen. Zu den wichtigsten dieser Pflichten gehört es, die Daten vor unbefugtem Zugriff oder unbefugter Verarbeitung zu schützen – auch vor Hackern, die Schwachstellen in geschäftskritischen Anwendungen ausnutzen könnten, um an personenbezogene Daten zu gelangen, die sich unter control Ihres Unternehmens befinden.
Die Datenschutz-Grundverordnung (DSGVO) der Europäischen Union ist ein weitreichendes Gesetz, das allen EU-Bürgern eine Reihe von Datenschutzrechten gewährt. Jedes Unternehmen, das in der EU tätig ist, sowie jedes Unternehmen weltweit, das personenbezogene Daten von EU-Bürgern erhebt, muss diese DSGVO-Standards comply da es andernfalls comply hohen Geldstrafen rechnen muss. Zu den Garantien der DSGVO gehören unter anderem:
- Auskunftsrecht: Jede Person hat das Recht, auf Anfrage Einsicht in alle personenbezogenen Daten zu erhalten, die ein Unternehmen über sie erhoben hat;
- Recht auf Berichtigung; eine Person kann verlangen, dass unrichtige personenbezogene Daten über sie berichtigt werden, wozu das Unternehmen innerhalb von 30 Tagen verpflichtet ist;
- Recht auf Löschung: Eine Person kann auch verlangen, dass personenbezogene Daten, die ein Unternehmen über sie erhoben hat, gelöscht werden.
Die DSGVO legt nicht fest, wie ein Unternehmen diese Rechte umsetzen muss; sie verlangt lediglich, dass ein der DSGVO unterliegendes Unternehmen diese Rechte in irgendeiner Form gewährleistet.
Ebenso schreibt die DSGVO nicht ausdrücklich vor, dass Unternehmen die personenbezogenen Daten, die sie über Einzelpersonen erheben, verschlüsseln müssen. Stattdessen nennt die DSGVO wiederholt Verschlüsselung und Pseudonymisierung als Beispiele für die „geeigneten technischen und organisatorischen Maßnahmen“, die ein Unternehmen ergreifen muss, um die Sicherheit der von ihm erhobenen personenbezogenen Daten zu gewährleisten.
Die DSGVO ist zudem zu einem Vorbild für andere Datenschutzgesetze geworden, wie beispielsweise den California Consumer Privacy Act (CCPA). Auch wenn der CCPA und die DSGVO nicht identisch sind, basieren beide auf dem Grundsatz, dass personenbezogene Daten der betroffenen Person gehören und nicht dem Unternehmen, das die Daten erhebt. Daher muss das Unternehmen bestimmte Sorgfaltspflichten erfüllen, solange sich personenbezogene Daten in seinem Besitz befinden – beispielsweise die Gewährleistung der Datensicherheit.
Die Rolle der Cybersicherheit bei der Einhaltung der DSGVO
Artikel 5 der DSGVO schreibt vor, dass personenbezogene Daten vor „unrechtmäßiger oder unbefugter Verarbeitung sowie vor versehentlichem Verlust, versehentlicher Zerstörung oder versehentlicher Beschädigung“ geschützt werden müssen. An dieser Stelle kommt die Cybersicherheit ins Spiel, wenn es um die Einhaltung der DSGVO geht. Die Daten müssen vor unrechtmäßiger oder unbefugter Manipulation geschützt werden.
Ein Teil dieser Herausforderung besteht darin, unbefugte Nutzer fernzuhalten (PII). Ein weiterer Teil besteht jedoch darin, die Daten selbst zu schützen, und zwar sowohl auf der Daten- als auch auf der Infrastrukturebene.
Das heißt, Hacker könnten eine Fehlkonfiguration oder Schwachstelle in den geschäftskritischen Anwendungen des Unternehmens ausnutzen und sich Zugang zu personenbezogenen Daten verschaffen, ohne dabei Geschäftsanwendungen zu nutzen oder einen Prüfpfad zu hinterlassen. Selbst bei strengen internen Kontrollen und Prüfungen auf Infrastruktur- oder Datenbankebene können Schwachstellen in der Anwendungsebene dazu führen, dass personenbezogene Daten unbefugten Manipulationen ausgesetzt sind – und das Unternehmen gegen die DSGVO verstößt.
Die möglichen Geldbußen bei Verstößen gegen die DSGVO sind erheblich: bis zu 20 Millionen Euro oder 4 % des weltweiten Umsatzes eines Unternehmens, je nachdem, welcher Betrag höher ist.
Zu ergreifende Maßnahmen
- Machen Sie sich mit den Feinheiten der DSGVO-Konformität vertraut. CISOs kennen möglicherweise nicht alle Details der DSGVO-Konformität, während interne Revisions- und Compliance-Teams sowie der Datenschutzbeauftragte (DSB) möglicherweise nicht alle Angriffsvektoren überblicken, die ein DSGVO-Risiko darstellen könnten. Sie benötigen eine gründliche Bewertung des DSGVO-Risikos.
- Entwickeln Sie eine Sicherheitsstrategie für geschäftskritische Anwendungen, die die Einhaltung der DSGVO gewährleistet. Diese Strategie sollte Aspekte wie Konfigurationsmanagement, Protokollverwaltung, die Entwicklung kundenspezifischer Anwendungen, Patches, kontinuierliche Überwachung und vieles mehr umfassen.
- Finden Sie die richtigen Werkzeuge für diese Aufgabe. Sicherheitsteams müssen in Zusammenarbeit mit der internen Revision und der Compliance-Abteilung Schwachstellen identifizieren, die die Einhaltung der DSGVO gefährden, und diese Lücken schließen. Angesichts moderner ERP-Systeme, die geschäftskritische Anwendungen unterstützen, ist das keine leichte Aufgabe. Der Einsatz der richtigen Technologie ist entscheidend für den Erfolg.
Erfahren Sie, wie Onapsis Ihnen dabei helfen kann, Sicherheits- und Compliance-Risiken zu erkennen und Ihre Audit-Prozesse zu optimieren. https://onapsis.com/request-a-demo/